Mellékleteink: HUP | Gamekapocs
Keres
Komoly security line-up az idei SYSADMINDAY-en: FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig!

Felhasználóbarát titkosítást ígér az End-to-End

Hlács Ferenc, 2014. december 19. 14:12
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Jövőre érkezhet a Google titkosítási megoldása, amely az elektronikus levelezést hivatott biztonságosabbá tenni, legalábbis Chrome böngészőben. Az OpenPGP-alapú End-to-End névre hallgató plugin GitHubon már megtekinthető.

Egyre közeledik a starthoz a Google email titkosítási megoldása. A vállalat még júniusban jelentette be, hogy egy Chrome pluginnal hamarosan végpontok közötti titkosítást ad az elektronikus levelezésnek és bár a kiegészítő hivatalosan még nem érhető el, az érdeklődő fejlesztők már megnézhetik azt GitHubon - a vállalat mindenkit arra bátorít, böngéssze át a kódot és ha hibát, vagy valamilyen biztonsági rést talál benne, jelezze fejlesztői felé. Jelenlegi állás szerint nyílt alfa verziót nem érdemes várni, a vállalat csak a főbb problémák megoldása után teszi elérhetővé a szoftvert - várhatóan valamikor a jövő év folyamán.

A Google lassan végleges formát öltő, Chrome-exkluzív pluginja funkciójának megfelelően egyszerűen "End-to-End" névre hallgat, azzal a vállalat célja, hogy az üzenetváltásokat biztonságosabbá tegye, mindezt ráadásul felhasználóbarát módon. Az online tárolt információk biztonsága az elmúlt évek megfigyelési botrányait követően egyre nagyobb hangsúlyt kap, a titkosítási megoldások túlnyomó többségének használata ugyanakkor még mindig jócskán meghaladja az átlagfelhasználó képességein.

A Google szoftvere a népszerű nyílt OpenPGP szabványra épül. A legtöbb hasonló alapokra helyezett program a decentralizált "web of trust" modellt használja amely a titkosításhoz használt nyilvános kulcsokat a hálózat tagjainál tárolja - ez a módszer ugyanakkor a felhasználók részéről is átlagon felüli kompetenciát igényel, ezért a koncepciót a keresőóriás egy felhasználói szempontból jóval egyszerűbb megoldással, egy saját kulcsszerverrel váltja fel.

Igaz, ez jóval központosítottabb megközelítés mint a legtöbb OpenPGP eszköz esetében, cserébe viszont használata is jelentősen könnyebb, miután az End-to-End automatikusan regisztrálja a felhasználók nyilvános kulcsait a szerveren. A végpontok közötti titkosításnak köszönhetően az üzenetek csak a küldő és a fogadó fél böngészőjében válnak olvashatóvá, így még ha illetéktelenek "út közben" meg is szerzik az adott emailt, a tartalmához nem férnek hozzá. A plugint ráadásul a tervek szerint nem csak a Gmaillel lesz igénybe vehető, ahhoz más webes szolgáltatások is hozzáférhetnek, egy ideje például a Yahoo is közreműködik a projektben.

A PGP fő problémáját az jelenti, hogy a felhasználóknak valamilyen módon ki kell cserélniük egymással a titkosításhoz szükséges kulcsokat, arról is meggyőződve, hogy azt a megfelelő személytől kapták - ez pedig titkosítatlan csatornán a teljes későbbi kommunikáció biztonságát veszélybe sodorhatja, így elég körülményes feladat. A Google megoldása ezt megkönnyíti, cserébe viszont a felhasználónak a beszélgetőpartner mellett, a keresőóriásban is meg kell bíznia. Hasonló kezdeményezések egyébként már az End-to-End mellett is léteznek, ilyen például a Keybase, amely a közösségi oldalakon használt felhasználónevek alapján szerzi be a nyilvános kulcsokat.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig: Veres-Szentkirályi András (Silent Signal), Balázs Zoli (MRG Effitas), Marosi-Bauer Attila (Hacktivity) és sokan mások. A standupot Felméri tolja.